　いきなり脆弱性管理や、PLC（Programmable Logic Controller）／DCSまで資産の可視化をしなくても、どちらにせよ脅威の入口のほとんどがUSBかネットワークであり、攻撃を最初に受け止めるのは大概何らかのPCだ。資産管理も、まずはそういったWindows端末などから始めたらいいのではないか。

脅威の入り口とリスクベースの製品導入対策方針［クリックで拡大］出所：フォーティネットジャパン

　個人的には、PLCの資産管理はセキュリティ上、ほとんど意味はないと思っている。なぜかというと、PLCの脆弱性を突いて攻撃するより、PCを乗っ取って正規のコマンドで攻撃した方がはるかに効率的だからだ。PCを乗っ取ることができれば、正規のコマンドで簡単にPLCを止めたり、数値を書き換えたりできる。そこを勘違いしている人が多い。

　未知の脅威への対策というのも、そういったものにPCを乗っ取られてしまうと、PCから出されるコマンドに関しては正規のコマンドになってしまうので、ブロックするのは難しい。制御機器の1つ上のレイヤーの端末を乗っ取られる前に勝負を付けなければならない。そういった意味では、サーバレイヤーのラテラルムーブメント（攻撃者がネットワーク侵入後に、ネットワーク内を横方向に移動しながら侵害範囲を広げていく攻撃手法）の監視などは効果がある。

　PLCやDCSにアンチウイルスソフトを入れなくてはいけない、と思っている人もいるが、それは対応の自動化以降でもいい。

佐々木　日本人はガイドラインなどを順守するのに長けているが、ガイドラインには何をどこまでやればいいのか、というのは書かれていない。経済産業省のガイドラインは事業規模やリスクに応じて選択できるようにはなっているが、多くのガイドラインは、どこにどうやって、どれくらいのコストをかければいいのかという点は書かれていない。やらなくていいものもあるはずなのに、ルールで決められているからと無理やり進めてしまう。

　現場の端末に定義ファイルが更新されていないアンチウイルスソフトが入れてあって、もう意味がないのに“ルールだから入れています”というケースがある。ISMS（情報セキュリティマネジメントシステム）認証にしても、あくまでリスク低減の取り組みなので、しっかりとリスクが減っていることを皆が自分事として把握しなくてはいけないのに、それが知らない間にガイドラインの〇付け作業に変わってしまっているケースが見られる。

藤原　監査で〇や×を付けることが目的になって、ガイドラインが守られない時に何が起こるのか、という訴求まで至っていない。ガバナンスを効かせることに懸命になって、効かされる側、つまり現場でガイドラインを守る側のことがなおざりになってしまっているケースがある。

　実際に守る側のためにも、しっかり守らないと何が起きるのかを認識していた方がいい。そうしないと、“何のためのガイドラインか”という話になってしまう。

　どのガイドラインを参照しても構わない。結局、重要なのは組織、運用、技術、工場サプライチェーンに軸足を置いて、ビジネスリスクの低減を行っていくことだ。

対談をした藤原氏（左）と佐々木氏（右）出所：フォーティネットジャパン

プロフィール

佐々木弘志（ささきひろし）

フォーティネットジャパン合同会社 OTビジネス開発部部長

2021年8月より現職。国内製造企業の制御システム機器の開発者として14年間従事した経験を持つ。セキュリティ専門家として、産業サイバーセキュリティの文化醸成（ビジネス化）を目指し、国内外の講演、執筆などの啓発やソリューション提案などのビジネス活動を行っている。CISSP認定保持者。

2022年5月～現在：名古屋工業大学　産学官金連携機構　ものづくりDX研究所　客員准教授（非常勤）
2017年7月～現在：独立行政法人情報処理推進機構（IPA）産業サイバーセキュリティセンター（ICSCoE）専門委員（非常勤）
2016年5月～2020年12月、2021年7月～現在：経済産業省商務情報政策局情報セキュリティ対策専門官（非常勤）

藤原　健太（ふじはら　けんた）

フォーティネットジャパン合同会社 OTビジネス開発部担当部長

現場機器から制御システム、OT領域のデジタル化支援まで幅広く従事し、これまでに訪問したプラント・工場は80拠点を超える。システムエンジニア、営業技術、ビジネス開発、プロジェクトエグゼキューション、アフターセールスなどを経験し、これらの幅広いスキルを生かし、OTセキュリティに関する執筆やメディア出演、イベント講演、社外関連団体での活動など精力的に取り組み業界をリードしている。

2022年9月～現在：GUTP+Edgecross合同工場セキュリティWGメンバー
2024年8月～現在：JNSA 調査研究部会 OTセキュリティWGメンバー
FS Engineer（TUV Rheinland, #18131/19, Safety Instrumented System）

⇒連載「ビジネスリスクを見据えたOTセキュリティ対策とガイドライン活用のススメ」のバックナンバーはこちら

経産省の工場セキュリティガイドラインはなぜ別冊が必要だったのか
経済産業省は工場セキュリティガイドラインを2022年11月に発表したのに続き、同ガイドラインの【別冊：スマート化を進める上でのポイント】を2024年4月に公開した。これらを策定した狙いはどこにあるのか、経済産業省に聞いた。
OTセキュリティを巡るエネルギー業界の法改正とは、変わる事業者の事故対応
フォーティネットジャパンはエネルギー業界に関するOTセキュリティ関連法改正などの概要について説明会を開催した。
工場を取り巻くセキュリティ環境動向とガイドラインの全体像
本連載では経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」が示す、今必要な工場セキュリティ対策を解説する。1回目は、最近の工場を取り巻く環境動向と、ガイドラインの全体像を紹介する。
工場セキュリティガイドラインが示す3つのステップ、そこで必要な対策とは何か
本連載では経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」が示す、今必要な工場セキュリティ対策を解説する。第2回では、ガイドラインが示すセキュリティ対策の3ステップと、各ステップで実施する対策について詳しく紹介する。
OTセキュリティの「場当たり的なパッチ当て対策」はなぜ成功しないのか
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第4回は、経営層が「OTセキュリティ戦略の必要性の認識」に至る前段階に陥りがちな「場当たり的なパッチ当て対策」の問題について説明する。